文章前言 在内网渗透测试中我们经常会在几个小时内获得域管理权限,而造成这种情况的原因是系统加固不足和使用不安全的Active Directory默认值,在这种情况下公开的利用工具有助于发现和利用这些问题...,Fox-IT开发了两个工具,第一个工具用PowerShell编写,可以在AD环境内部或外部运行,第二个工具是ntlmrelayx工具的扩展,此扩展允许攻击者将身份(用户帐户和计算机帐户)转发到Active...,并请求给定用户帐户的散列,默认情况下,将使用krbtgt帐户(可选) 攻击完成后该脚本将删除攻击期间添加的组成员以及域对象的ACL中的ACE 为了测试这个脚本,我们创建了26个安全组,每个组都是另一个组的成员...Exchange Trusted Subsystem安全组的组成员资格的权限,成为该组的成员将授予您在Active Directory中修改域对象的ACL的权限 我们现在有31个环节: 26个安全组的间接成员...将启用NTLM的自动身份验证 应该注意的是,在Active Directory的默认配置中针对LDAP的中继攻击是可能的,因为LDAP签名在一定程度上缓解了这种攻击,但在默认情况下是禁用的,即使启用了
我最大的担忧是,对于许多组织而言,管理 Azure AD 和 Office 365 的组通常与管理 Azure 的组不同。这意味着有人可以提升访问权限(想想流氓管理员)而没有人会注意到。...回到本地,然后我运行 Active Directory 模块 PowerShell 命令以获取域管理员组的成员身份,我们可以看到该帐户已添加。...一旦攻击者可以在 Azure VM 上将 PowerShell 作为系统运行,他们就可以从云托管的域控制器中提取任何内容,包括 krbtgt 密码哈希,这意味着完全破坏本地 Active Directory...使用此帐户,攻击者转向 Azure 并在托管公司本地 Active Directory 域控制器的 Azure VM 上运行 PowerShell。...PowerShell 命令可以更新 Active Directory 中的域管理员组或事件转储 krbtgt 密码哈希,这使攻击者能够离线创建 Kerberos Golden Tickets,然后针对本地
SID 历史记录是一项旧功能,可实现跨 Active Directory 信任的回溯。此功能在 Active Directory 首次发布以支持迁移方案时就已到位。...由于 Mimikatz 通过相对标识符 (RID) 将组成员身份添加到票证中,因此在 Kerberos 票证中将 519(企业管理员)RID 标识为在其中创建它的域的本地(基于 KRBTGT 帐户域)。...在单个域 Active Directory 林中,不存在此限制,因为 Enterprise Admins 组托管在此域中(这是创建黄金票证的地方)。...当用户使用新帐户登录到 DomainB 时,DomainA SID 与确定访问权限的 DomainB 用户组一起被评估。这意味着可以将 SID 添加到 SID 历史记录以扩展访问权限。...更新: 已经注意到,在 Active Directory 林中的信任之间启用 SID 过滤可以缓解这种情况,因为 SID 历史记录不起作用。
攻击者可以通过多种方式获得 Active Directory 中的域管理员权限。这篇文章旨在描述一些当前使用的比较流行的。...域控制器在 Active Directory 中查找 SPN 并使用与 SPN 关联的服务帐户加密票证,以便服务验证用户访问权限。...您的 vCenter 管理员组在 AD 中?您可能想要更改... 将适当的权限委派给适当的组,不要让攻击者能够通过服务器管理员帐户对 AD 进行后门。...Active Directory 中有几个组大多数人不希望拥有域控制器的默认登录权限。...减轻: 限制有权登录到域控制器的组/帐户。 限制具有完整 Active Directory 权限的组/帐户,尤其是服务帐户。
BloodHound是一种单页的JavaScript的Web应用程序,能显示Active Directory环境中隐藏的和相关联的主机内容。...一、环境 BloodHound是一种单页的javascript的Web应用程序,能显示Active Directory环境中隐藏的和相关联的主机内容。...Group Members ,虽然与Group Membership都是组成员的意思,但Group Membership更偏向于组成员之间的一种关系,Group Members则仅仅指成员这一部分。...– CanPSRemote 用PowerShell进行会话 – ExecuteDCOM 实例化目标的COM对象并调用其方法,可以在特定条件下执行代码 – AllowedToDelegate 有这个特权的节点可以将任何域主体...-Groups with Foreign Domain Group Membership 具有外部域组成员资格的组 -Map Domain Trusts 映射域信任关系 -Shortest Paths
LAPS 将每台计算机的本地管理员帐户的密码存储在 Active Directory 中,并以计算机对应 Active Directory 对象的机密属性进行保护。...允许计算机在 Active Directory 中更新自己的密码数据,域管理员可以授予授权用户或组(例如工作站帮助台管理员)读取权限。...• 将密码报告给 Active Directory,并将其与计算机帐户的机密属性一起存储在 Active Directory 中。...• 向 Active Directory 报告密码的下一次到期时间,并将其与计算机帐户的属性一起存储在 Active Directory 中。 • 更改管理员帐户的密码。...• 使用与 Active Directory 中的 ACL 集成的安全模型。
我们将通过创建一些诱饵帐户(或蜂蜜帐户)并将它们与真实帐户混合来使用欺骗来检测这一点。诱饵帐户是为欺骗目的而创建的帐户,也用于防御以检测恶意行为。...Active Directory 是一个集中式数据库,用于描述公司的结构并包含有关不同对象(如用户、计算机、组和)的信息。以及它们在环境中的相互关系。...Bloodhound 是一种通常被攻击者用来直观地映射组织的 Active Directory 结构并对其进行分析以发现其弱点的工具。...一旦包含所有 Active Directory 对象、组、会话、信任等结果的压缩文件被收集并导入 Bloodhound,它就会使用图论进行数据可视化,在后端运行 Neo4j 图形数据库。...设计欺骗时的一些最佳实践是: 添加组名中带有 *Admin* 的诱饵组。
0x01 BloodHound 介绍 BloodHound是一款可视化图形分析域环境中的关系的工具,以用图与线的形式,将域内用户、计算机、组、Sessions、ACLs以及域内所有相关用户、组、计算机、...0x04 BloodHound 使用 BloodHound需要来自Active Directory(AD)环境的三条信息才能运行: 哪些用户登录了哪些机器 哪些用户拥有管理员权限 哪些用户和组属于哪些组...BloodHound 功能说明 BloodHound整体页面功能如下: 菜单与搜索栏具体如下: 1、Database Info(数据库信息),可以查看当前数据库的基本信息,包括用户、计算机、组和关系(...; 白色骷髅头说明是已拥有节点; 红色靶子图标是目标节点; 钻石图标则是高价值目标; BloodHound 关系说明 在每个节点与节点之间都有对应的关系,分别代表着不同的意思。...AdminTo AdminTo 末端是尖端的本地管理员,本地管理员对这台计算机的管理权限比较大,下面的这个用户组是前一台计算机的本地管理员。
它使用图形理论来自动化的在 Active Directory 环境中搞清楚大部分人员的关系和细节。...我们可以使用 BloodHound 快速深入了解 AD 的一些用户关系,了解哪些用户具有管理员权限,哪些用户有权对任何计算机都拥有管理权限,以及有效的用户组成员信息。...与墓碑一样,它的大部分属性都被删除,并且在 tombstoneLifetime 属性指定的时间段内持续存在于 Active Directory 中。...然后它会被 Active Directory 的垃圾收集器清理掉。在启用回收站的情况下删除的对象的生命周期如下所示: 简介: AD Recycle Bin是一个著名的 Windows 组。...Active Directory 对象恢复(或回收站)是 Server 2008 中添加的一项功能,允许管理员恢复已删除的项目,就像回收站对文件所做的一样。
#ipconfig的输出结果是一个数组 $ip=ipconfig $ip -is [array] 真正的Powershell命令返回的数组元素可不止一个字符串,它是一个内容丰富的对象。...| fl * 数组 #使用逗号创建数组 $nums=2,0,1,2 #创建连续数字的数组 $nums=1..5 #创建空数组 $a=@() #判断是否是一个数组 $a -is [array] #得到数组里元素的个数..."; alignment="right"} ls | Format-Table $column1, $column2 管道处理 常用的对管道结果进一步处理的命令有: Compare-Object: 比较两组对象...ForEach-Object: 针对每一组输入对象执行操作。 Format-List: 将输出的格式设置为属性列表,其中每个属性均各占一行显示。 Format-Table: 将输出的格式设置为表。...Select-Object: 选择一个对象或一组对象的指定属性。它还可以从对象的数组中选择唯一对象,也可以从对象数组的开头或末尾选择指定个数的对象。 Sort-Object: 按属性值对象进行排序。
工具简介 BloodHound是一个免费的域渗透分析工具,BloodHound以用图与线的形式将域内用户、计算机、组、 会话、ACL 及域内所有相关用户、组、计算机、登录信息、访问控制策略之间的关系直观地展现在...BloodHound 使用图形理论,自动化地在Active Directory环境中理清大部分人员之间的关系和细节。...使用BloodHound, 可以快速地深入了解AD中的一些用户关系、哪些用户具有管理员权限、哪些用户有权对任何计 算机都拥有管理权限,以及有效的用户组成员信息。...使用指南 采集数据 使用BloodHound进行分析,需要来自Active Directory环境的三条信息,具体如下: 哪些用户登录了哪些机器? 哪些用户拥有管理员权限?...具有外部域组成员身份的用户。 具有外部域组成员身份的组。 映射域信任。 无约束委托系统的最短路径。 从 KerberoAstable 用户获得的最短路径。
链接的文章提供了一个 PowerShell 命令来查询域中所有已删除的对象:图片具体细节可以看这篇文章:https://blog.netwrix.com/2021/11/30/active-directory-object-recovery-recycle-bin...通过对其进行base64解密,我们成功拿到了该用户的密码。我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。...与逻辑删除一样,它的大部分属性都会被删除,并且会在 tombstoneLifetime 属性指定的时间内保留在 Active Directory 中。...启用 AD 回收站后,已删除的对象将保留更多的属性,并且比逻辑删除的持续时间更长。因此,Active Directory 可能会比以前使用更多的空间。启用回收站会删除所有逻辑删除。...然后,如果您需要恢复已删除的对象,您可以“仅”找到删除该对象之前进行的备份,使用 NTDSUTIL 挂载快照,使用 LDAP 实用程序连接到已挂载的快照,找到该对象,然后将其导出……没关系。
通过对其进行base64解密,我们成功拿到了该用户的密码。 我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。...与逻辑删除一样,它的大部分属性都会被删除,并且会在 tombstoneLifetime 属性指定的时间内保留在 Active Directory 中。...Active Directory 将会变得更大一些。 启用 AD 回收站后,已删除的对象将保留更多的属性,并且比逻辑删除的持续时间更长。...因此,Active Directory 可能会比以前使用更多的空间。 启用回收站会删除所有逻辑删除。 启用回收站最有影响的后果是森林中的所有墓碑对象将立即不复存在。...然后,如果您需要恢复已删除的对象,您可以“仅”找到删除该对象之前进行的备份,使用 NTDSUTIL 挂载快照,使用 LDAP 实用程序连接到已挂载的快照,找到该对象,然后将其导出……没关系。
该模块依赖于 Invoke-Mimikatz PowerShell 脚本来执行与 DCSync 相关的 Mimikatz 命令。...ntdsutil ntdsutil 是一个命令行工具,是域控制器生态系统的一部分,其目的是使管理员能够访问和管理 Windows Active Directory 数据库。...生成两个新文件夹:Active Directory 和 Registry。...NTDS.DIT 文件将保存在 Active Directory 中,SAM 和 SYSTEM 文件将保存到注册表文件夹中 ?...如果已经生成了黄金票据,则可以使用 Kerberos 与域控制器进行身份验证。 vssadmin vssadmin 是一个 Windows 命令行实用程序,管理员能够使用它备份计算机、卷和文件。
Ntds.dit包括但不限于有关域用户、组和组成员身份和凭据信息、GPP等信息。...您可使用 Ntdsutil.exe 执行 Active Directory 的数据库维护,管理和控制单个主机操作,创建应用程序目录分区,以及删除由未使用 Active Directory 安装向导 (DCPromo.exe...Active Directory\ntds.dit,同时会将SYSTEM和SECURITY复制到C:\test\registry目录下: 然后执行如下命令将ntds.dit复制到C:\ntds.dit...copy "C:\test\Active Directory\ntds.dit" C:\ntds.dit 最后,将我们需要的文件拖到本地后,将test文件夹删除即可。...提取到的哈希值可以用hashcat等工具进行破解,详情请看我的另一篇文章:《内网横向移动研究:获取域内单机密码与Hash》 由于Ntds.dit包括但不限于有关域用户、组和组成员身份和凭据信息、GPP等信息
Active Directory 帮助 IT 团队在整个网络中集中管理系统、用户、策略等。...因为它是组织不可分割的一部分,所以这给攻击者提供了机会,利用 Active Directory 的功能来做一些恶意的操作。在这篇文章中,我们可以了解到 DCSync 的原理及检测方法。...关于 Active Directory 复制 域控制器 (DC) 是 Active Directory (AD) 环境的核心。...企业通常有多个域控制器作为 Active Directory 的备份,或者在每个区域都有不同的域控制器,方便本地身份验证和策略下发。...我们还在实验室中部署了 Sysmon 以进行额外的日志记录。
[TOC] 0x00 对象操作处理相关命令 描述: 下述命令常用于对象的相关操作,涉及创建、排序分组与比较等。 Get-Command -Noun Object | ?....net的构造函数 (Collections - 集合) # PowerShell将数组的每个成员绑定到构造函数的一个参数。...Get-Member -InputObject $array # 显示 TypeName:System.Object[] Tips : 许多初学者认为无法使用 Get-* 命令进行颠覆性更改。...如果没有此参数`Get Unique`将ProcessName值视为对象,并且只返回对象的一个实例,即列表中的第一个进程名。...Words Characters Property ----- ----- ---------- -------- 3 3 13 Compare-Object 命令 - 比较两组对象
Ntdsutil中获取NTDS.DIT文件 Ntdsutil.exe是一个为Active Directory提供管理设施的命令行工具。...获取对Active Directory数据库文件的访问权限(ntds.dit) Active Directory数据库(ntds.dit)包含有关Active Directory域中所有对对象的所有信息...p=1906 AdminSDHolder是位于Active Directory中的系统分区 组策略 https://adsecurity.org/?...SYSVOL是所有经过身份验证的用户具有读取权限的Active Directory中的域范围共享。SYSVOL包含登录脚本,组策略数据以及其他域控制器中需要使用的全域数据。...p=1790 Active Directory攻击和防御资源 https://adsecurity.org/?
若两个域之间需要相互访问,需要建立信任关系(Trust Relation),通过信任关系可以将父子域连接成树状结构 域森林:多个域树通过建立信任关系组成的集合。 域名服务器:实现域名到IP地址的转换。...内网渗透中,大都是通过寻找DNS服务器来确定域控制器位置(因为DNS服务器和域控制器通常配置在一台机器上) 3.活动目录 活动目录(Active Directory,AD)是指域环境中提供目录服务的组件...,其次是去看重这个权限 Schema Admins(架构管理员组)————最重要的权限 Domain Users(域用户组) 通常DNS服务器与域控制器会在同一台机器上 一个域内至少需要两台DC,需要一台用作备份...9.域的优点(为什么使用域) 1、权限管理比较集中,管理成本降低 域环境中,所有的网络资源,包括用户均是在域控制器上维护的,便于集中管理,所有用户只要登入到域,均能在域内进行身份验证,管理人员可以较好的管理计算机资源...2.Powershell 常用命令 New-Item hack -ItemType Directory #新建目录 New-Item ailx0000.txt -ItemType File #新建文件
1.查找所有域用户列表 向域控制器进行查询 net user /domain 获取域内用户的详细信息 wmic useraccount get /all 获取到的信息包含用户名,描述信息,SID...获取存在的用户(要在 Active Directory 域管理服务器上运行。)...在PowerShell中,常用的工具是PowerView。...netview.exe 参数 常见参数 -h 查看帮助信息 -d 从当前域中提取主机列表 -d domian 指定提取主机列表的域 -g 在Domain admins组中搜索组名 -g group 指定搜索组名...Get-NetDomainController: 获取所有域控制器的信息 Get-NetComputer: 获取域内所有机器的详细信息 Get-NetOU: 获取域中的OU信息 Get-NetGroup: 获取所有域内组和组成员信息
领取专属 10元无门槛券
手把手带您无忧上云
